W silnie regulowanej branży finansowej wiele instytucji przenosi się do chmury, aby szybko i ekonomicznie dostarczać klientom nowe usługi. Największy nacisk kładziony jest na zapewnienie elastyczności i dostępu, ale przyspieszyły również wdrożenia funkcji jednokrotnego logowania (SSO) przy użyciu usług Azure Active Directory (AD) i Office 365. Funkcja ta stała się wszechobecna w instytucjach usług finansowych (FSI). Usługi oparte na chmurze ujawniły jednak nowe obszary wystawione na ataki, a cyberprzestępcy nieustannie testują nowe możliwości wejścia.
| REKLAMA | ||
 |
Ryzyko cybernetyczne w przypadku FSI istnieje zawsze, ale odpowiednio przygoto-wany plan dla wdrożenia chmury oraz widoczności operacji w chmurze mogą utrzy-mać bezpieczeństwo na właściwym torze. Chmura nieustannie zmienia wszystko, co wiemy o bezpieczeństwie, dlatego właściwe użycie danych przy wsparciu sztucznej inteligencji, mogą pomóc w zapewnieniu przejrzystości operacji w chmurze.
Niedawno przeprowadzona analiza Vectra AI, oparta na obserwacjach z wdrożeń Cognito Network i Cloud Detection Platform w FSI, rzuca nowe światło na najczęstsze wykrycia zagrożeń w Microsoft Azure AD i Office 365.
Wnioski płynące z operacji najczęściej wykrywanych w chmurze
Instytucje finansowe doświadczają dużej liczby wykryć ryzykownych operacji Exchan-ge O365 i tworzenia nadmiarowego dostępu w usłudze Azure AD.
Wykrycie operacji 0365 Risky Exchange może wskazywać, że zapewniany jest dostęp do poufnych informacji, które byłyby dostępne w wiadomości e-mail. Może to również wskazywać, że osoba atakująca manipuluje serwerem Exchange, aby uzyskać dane potrzebne do dalszych postępów ataku. W takim przypadku istnieje ryzyko, że ten ro-dzaj dostępu umożliwi atakującym tworzenie tylnych drzwi i ugruntuje ich dostęp do systemów. Z drugiej strony wykrycie tworzenia nadmiarowego dostępu w usłudze Azure AD może wskazywać, że osoby atakujące zwiększają uprawnienia i wykonują operacje na poziomie administratora po przejęciu konta.
W pierwszej dziesiątce wykrytych zagrożeń w FSI znalazły się również: O365 Suspi-cious Download Activity, O365 Suspicious Power Automate Flow Creation oraz O365 Suspicious eDiscovery Exfil. Działania te mogą wskazywać, że dane są wyprowadza-ne ze środowiska. Niezależnie jednak od tego, czy atakujący używa SharePointa lub OneDrive'a do pobierania i eksfiltracji danych, czy też konfiguruje mechanizm trwałe-go dostępu, na co np. wskazywałoby tworzenie przepływu Power Automate Flow - ze-spół bezpieczeństwa musi o tym wiedzieć.
Znajomość zachowań "Twojego" konta
Usługi finansowe z pewnością nie są jedyną branżą, która w ostatnim czasie wprowa-dziła zmiany w swoich rozwiązaniach technicznych. Obecnie istotne jest to, jakie na-rzędzia bezpieczeństwa są używane do przeciwdziałania wszelkim niechcianym dzia-łaniom.
Ze względu na ścisłe regulacje i priorytetowe traktowanie testów penetracyjnych, in-stytucje finansowe zazwyczaj dobrze radzą sobie z ochroną przed atakami, co nie znaczy, że można lekceważyć umiejętności i motywację cyberprzestępców. Należy założyć, że są przebiegli i znajdą sposoby na ukrycie się w obszarach, które nie są zabezpieczone, co sprawia, że możliwość wykrycia nietypowej aktywności jest waż-niejsza niż kiedykolwiek. Różnica między zachowaniem atakującego a uprzywilejo-wanego konta może być rozmyta, dlatego bez możliwości gromadzenia odpowiednich danych, zapewniających właściwą widoczność oraz wiedzę jak wygląda autoryzowa-ne użycie, bardzo trudno jest zrozumieć jakie zachowania podejmowane są przez atakujących.
Źródło: Vectra AI
Niedawno przeprowadzona analiza Vectra AI, oparta na obserwacjach z wdrożeń Cognito Network i Cloud Detection Platform w FSI, rzuca nowe światło na najczęstsze wykrycia zagrożeń w Microsoft Azure AD i Office 365.
Analiza koncentruje się na najczęściej wykrytych anomaliach dotyczących zbioru klientów z branży usług finansowych. Należy jednak pamiętać, że wykrywanie i reagowanie na zagrożenia jest najłatwiejsze, gdy przeciw-nicy podejmują działania, które są w oczywisty sposób wrogie – mówi Christian Putz, Country Manager w Vectra AI.
Bardzo ważne jest, aby osoby odpowiedzialne za bez-pieczeństwo sieci zrozumiały, że istnieją punkty wspólne między działaniami, które przeciwnik musiałby podjąć, aby osiągnąć swoje cele, a rutynowymi zachowaniami autoryzowanych użytkowników. Wiele z wykrytych działań omawianych w raporcie jest nietypowe, lecz nie wszystkie z nich są wynikiem złośliwej aktywności – zaznacza.
Wnioski płynące z operacji najczęściej wykrywanych w chmurze
Instytucje finansowe doświadczają dużej liczby wykryć ryzykownych operacji Exchan-ge O365 i tworzenia nadmiarowego dostępu w usłudze Azure AD.
Wykrycie operacji 0365 Risky Exchange może wskazywać, że zapewniany jest dostęp do poufnych informacji, które byłyby dostępne w wiadomości e-mail. Może to również wskazywać, że osoba atakująca manipuluje serwerem Exchange, aby uzyskać dane potrzebne do dalszych postępów ataku. W takim przypadku istnieje ryzyko, że ten ro-dzaj dostępu umożliwi atakującym tworzenie tylnych drzwi i ugruntuje ich dostęp do systemów. Z drugiej strony wykrycie tworzenia nadmiarowego dostępu w usłudze Azure AD może wskazywać, że osoby atakujące zwiększają uprawnienia i wykonują operacje na poziomie administratora po przejęciu konta.
W pierwszej dziesiątce wykrytych zagrożeń w FSI znalazły się również: O365 Suspi-cious Download Activity, O365 Suspicious Power Automate Flow Creation oraz O365 Suspicious eDiscovery Exfil. Działania te mogą wskazywać, że dane są wyprowadza-ne ze środowiska. Niezależnie jednak od tego, czy atakujący używa SharePointa lub OneDrive'a do pobierania i eksfiltracji danych, czy też konfiguruje mechanizm trwałe-go dostępu, na co np. wskazywałoby tworzenie przepływu Power Automate Flow - ze-spół bezpieczeństwa musi o tym wiedzieć.
Usługi finansowe coraz częściej wykorzystują techno-logie chmurowe jako sposób na zwiększenie szybkości i wydajności w ich organiza-cjach, co może przełożyć się na zwiększenie przepływu informacji do i współpracy z podmiotami zewnętrznymi. Jednocześnie wykryte zagrożenia pokazują jak duży ob-szar jest narażony na to, że osoby atakujące wyszukają i przechwycą wrażliwe dane lub będą kontynuować szkodliwe działania. Wszystkie instytucje powinny upewnić się, że w ich programie bezpieczeństwa wdrożono procesy rutynowej kontroli bezpie-czeństwa, oraz analizy nietypowych działań, które mogą skutkować wyciekiem i utratą danych – mówi przedstawiciel Vectra AI.
Znajomość zachowań "Twojego" konta
Usługi finansowe z pewnością nie są jedyną branżą, która w ostatnim czasie wprowa-dziła zmiany w swoich rozwiązaniach technicznych. Obecnie istotne jest to, jakie na-rzędzia bezpieczeństwa są używane do przeciwdziałania wszelkim niechcianym dzia-łaniom.
Ze względu na ścisłe regulacje i priorytetowe traktowanie testów penetracyjnych, in-stytucje finansowe zazwyczaj dobrze radzą sobie z ochroną przed atakami, co nie znaczy, że można lekceważyć umiejętności i motywację cyberprzestępców. Należy założyć, że są przebiegli i znajdą sposoby na ukrycie się w obszarach, które nie są zabezpieczone, co sprawia, że możliwość wykrycia nietypowej aktywności jest waż-niejsza niż kiedykolwiek. Różnica między zachowaniem atakującego a uprzywilejo-wanego konta może być rozmyta, dlatego bez możliwości gromadzenia odpowiednich danych, zapewniających właściwą widoczność oraz wiedzę jak wygląda autoryzowa-ne użycie, bardzo trudno jest zrozumieć jakie zachowania podejmowane są przez atakujących.
Źródło: Vectra AI
